Suche Grau Suche

Auctores-Testcenter

Software auf dem Prüfstand

Moderne Software ist hoch komplex, besteht aus enormen Codemengen – und sie „lebt“. Neue Anforderungen, zusätzliche Funktionen oder Anpassungen an neue Systeme sorgen dafür, dass Website-CMS oder eine App ebenso wie eine kundenspezifische Anwendung ständig aktualisiert werden. Zugleich nutzt derartige Software externe Programm-Bibliotheken, die den gleichen Bedingungen unterworfen sind. Unter diesen Voraussetzungen ist es kaum noch möglich, Qualität und Sicherheit des Programmcodes „von Hand“ zu prüfen. Auctores begegnet dieser Herausforderung mit einem eigenen Testcenter zur automatisierten Kontrolle.

Code-Qualität im Blick

Die Qualität des Programmcodes ist ein wichtiger Aspekt für die Stabilität einer Software. Zugleich erleichtern gut strukturierter Code und das Einhalten von Entwicklungskonventionen die Wartung der Programme. Die Weiterentwicklung ist ebenfalls einfacher und zeitsparender möglich. Und nicht zuletzt lassen sich neue Programmierer im Team schneller einarbeiten.

Deshalb setzt Auctores auf dieser Ebene mehrere Tools ein. Diese klopfen neuen Code bereits in der Entwicklungsumgebung ab, aber auch bei der kontinuierlichen Integration neuer Komponenten in laufende Software. Damit lassen sich neben „klassischen“ Fehlern (Bugs) fehlerhafte logische Strukturen und sicherheitsrelevante Fehler aufspüren. Zusätzlich geben diese Tools Tipps zum Optimieren des Codes. Darüber hinaus werden Schnittstellen und Benutzeroberflächen der Programme getestet, damit nach dem Live-Gang keine Abfrage und kein Benutzer-Klick ins Leere geht.

Penetrationstests für mehr Sicherheit

In einer vernetzten Welt, die Prozesse zunehmend ins Internet verlagert, ist es extrem wichtig, Programme gegen Angriffe von außen und Datenmanipulation abzusichern. Mit Hilfe von Penetrationstest lassen sich solche Angriffsszenarien durchspielen. Um hier nicht auf externe Dienstleister angewiesen zu sein, führt Auctores ein eigenes Penetrations-Framework ein. Mit ihm lassen sich diese Tests kurzfristig und regelmäßig durchführen.

Damit verfügt Auctores inhouse über die Strukturen und das Know-how, neue Software auf Herz und Nieren zu prüfen und auch versteckte Probleme bereits vor dem Produktiv-Roll-out zu erkennen und zu beheben.

Eingesetzte Software

Auf technischer Ebene werden als Frameworks verwendet:

  • Arquillian
    Test der Schnittstellenfunktionen des Systems
  • Selenium
    Test der Benutzeroberflächen

Die Code-Qualität der Software wird mit Sonarqube geprüft. Getestet wird dabei auf

  • Bugs (Fehler), z. B. das partielle Erkennen fehlerhafter logischer PRogrammstrukturen,
  • Vulnerability (Verwundbarkeit), z. B. das partielle Erkenn sicherheitsrelevanter Programmierfehler wie SQL Injections und
  • Code Smell (nicht optimaler Code), z. B. das partielle Erkennen schlecht wartbarer Codestellen, Aufzeigen von Optimierungsansätzen bestehender Codestellen, Prüfen auf Einhaltung von Kodierungsrichtlinien.

Für die weitergehende Sicherheitsprüfung über ein eigenes Penetrations-Framework befinden sich OWASP Zed Attack Proxy (ZAP) und Burp in der Evaluation.